SW 품질 - GS 인증

1.국내 SW완성도를 평가해 일정수준 이상의 기신사(기술력, 신뢰성, 사용성)을 갖춘 제품에 부여하는 품질인증제도

* GS인증의 평가모델
- 그림 밑에 : 7대 주특성(기신사효유이, 일반적요구사항), 부특성, 세부평가항목으로 구성

 

* GS 인증 주요 내용
1) 인증대상 : 패키지 SW
2) 인증기관 : TTA SW 시험인증센터 , 한국산업기술시험원 (KTL)
3) 인증방법
- 문서심사만으로 인증을 부여하는 여타 인증모델과 달리 실제 테스트베드를 갖추고 철저한 제품(프로그램, 제품설명서,ㅂ 사용자매뉴얼 =>12119) 시험을 수행
- 테스트 기법 : 블랙박스, 탐색적, Performance Test 등의 다양한 기법 및 자동화 도구를 통한 테스트 수행

 

[GS 인증의 제도적 혜택]
-조달청 제3자 단가계약 체결 및 나라장터 등록을 통한 구매기관의 수의계약 지원
(국가를 당사자로 하는 계약에 관한 법률 시행령)
-GS 인증제품을 공공기관 우선구매 대상 기술개발 제품으로 지정
(중소기업제품 구매촉진 및 판로지원에 관한 법률)
-우선구매 대상 기술개발제품에 대한 구매자면책제도 및 성능보험제도
(중소기업제품 구매촉진 및 판로지원에 관한 법률)
-행정 및 공공 정보화사업 구축·운영 시 우선 도입 대상 제품으로 지정
(행정기관 및 공공기관 정보시스템 구축·운영 지침, 행정안전부 고시)
-공공기관에서 상용SW 구매 시 SW기술성 평가 우선반영 및 대체
(소프트웨어 기술성 평가기준, 과학기술정보통신부 고시)
-GS 인증획득 시 상용SW 기술성 평가기준에 의거, 공급업체 지원의 제품 신뢰도 평가항목 포함(소프트웨어 기술성 평가기준, 과학기술정보통신부 고시)
-분리발주 대상 SW 요건으로 GS인증획득 제품 지정
(분리발주 대상 소프트웨어, 과학기술정보통신부 고시)
-소프트웨어사업 하도급계약의 적정성 판단시 가점(2점) 부여
(소프트웨어사업의 하도급 승인 및 관리 지침, 과학기술정보통신부 고시)

 

 

인증 취득시 다양한 혜택 얻지만, 버전별 별도 인증에 따른 비용·시간 부담 크다

 

소프트웨어 분야의 대표적 공공인증 중 하나인 GS(Good Software) 인증은 국내 대부분의 소프트웨어(SW) 개발업체가 중소기업 혹은 벤처기업으로 우수한 제품을 만들어도 영업 및 마케팅이 힘들고, 그로 인한 꾸준한 품질 및 안전성을 제공하기 힘들다는 점을 해소하기 위해 만들어졌다. 이에 산업체를 중심으로 소프트웨어 제품의 품질향상을 위한 시험·인증제도의 필요성이 제기되어 왔다.

이에 정보통신부(현 과기정통부)는 소프트웨어산업진흥법 제13조, 동법 시행령 제9조, 제10조 등 관련 법령을 마련하고, 정보통신부장관 고시를 통해 2000년 9월 한국전자통신연구원(ETRI)에 제3자 시험·인증기관으로 SW시험센터를 설립했으며, 2001년 한국정보통신기술협회(TTA)로 조직을 이관했다. 이어 2007년 한국산업기술시험원(KTL)도 GS인증 시험기관이 되면서 현재 TTA와 KTL 두 기관에서 GS인증 시험 및 인증을 하고 있다.

GS인증제도는 문서심사만으로 인증을 부여하는 제도와 달리 고객이 사용하게 될 실제 운영환경의 테스트베드를 갖춰, 철저히 제품(프로그램, 제품설명서, 사용자설명서) 품질을 인증하는 제도다. 시험·인증 대상은 일반 패키지 소프트웨어부터 보안 소프트웨어, ERP, CRM 등 기업용 소프트웨어에 이르기까지 다양하며, 프로그램뿐만 아니라 사용자 설명서를 시험·인증대상에 포함시켜 제품을 평가하고 있다. GS인증 시험은 ISO/IEC25023, 25041, 25051 국제표준을 기반으로 기능성, 신뢰성, 사용성, 효율성, 유지보수성, 이식성 등에 대한 시험을 수행한다.

 

그렇다면 인증기관과 인증비용은 얼마나 들까? GS인증을 진행한 업체들이 가장 어려움을 피력하는 부분도 사실 이 부분이다. 우선 인증기간의 경우 보통 2개월에서 3개월은 소요되는 것으로 확인됐다. 물론 이는 상황에 따라 다르며, 인증과정에서 수정이 있는지 없는지가 가장 크게 영향을 미치는 것으로 확인됐다. 특히, 올해 들어서는 코로나19의 영향 때문인지 신청부터 획득까지 4~5개월이 걸리는 것으로 조사됐다.

 

지난해 처음 인증을 진행했던 한 보안업체는 “인증을 처음 진행해본 탓인지 인증신청부터 통과하는 데만 7~8개월이 소요됐으며, 인증도 몇 번 떨어져 비용만 해도 2,000만 원 이상 들었다”며, “기간과 비용도 부담이지만, 연말까지 GS인증을 취득해 공공시장에 등록한 후, 2020년 공공시장에서 영업하려는 계획이 차질을 빚어 큰 손실을 봤다”고 아쉬워했다.

실제로 업체들이 한 목소리로 지적하는 문제는 바로 인증신청부터 심사, 결과까지 걸리는 시간이었다. 특히, 인증비용은 매년 상승하면서도 인증 대기시간은 줄어들지 않는 점도 문제였다. 한 기업에서는 “인증 시간이 오래 걸린다면 인증기관에서도 직원을 좀 더 채용해 시간을 줄여주거나, 아니면 국가에서 인증기관을 더 확대하는 게 맞다”면서, “바로 인력 충원이나 기관 확대가 어렵다면 적어도 정확한 인증 프로세스와 걸리는 시간이라도 정확하게 고지해줬으면 좋겠다”고 아쉬워했다.

 

https://www.boannews.com/media/view.asp?idx=88589&kind=0

공공시장 진입의 첫 관문 GS인증, 보안 SW 분야에서의 명암

 

ISO9126 - ISO25010

ISO 12119 - ISO25051

ISO 14598 - ISO25041

 

 

국가·공공기관에 도입되는 정보보호 제품 인증요건이 다양화됐다. 공통평가기준(CC) 인증과 암호모듈 검증(KCMVP) 중심에서 GS인증과 성능평가까지 확장됐다. 정보보호 제품 유형에 따라 사실상 중복 적용되던 다양한 평가·인증 방식을 선택할 수 있는 길이 열렸다.

 

공공기관에 네트워크·정보보호 제품을 도입할 때 보안적합성 검증을 대체할 수 있는 ‘보안기능시험결과서(일명 시험성적서)’ 발급 대상도 ICT 전 제품으로 확대된다. 다만 강화된 시험기준이 적용되고 유효기간 정책도 변경된다.

 

현재 CC인증을 반드시 받아야하는 인증요건 필수 제품 유형으로 분류돼 있는 정보보호 제품 24종 가운데 스팸메일 차단시스템, 패치관리시스템, 망간 자료전송 제품은 앞으로 국가·공공기관 납품시 CC와 GS인증을 선택해 받으면 된다. GS인증은 ISO/IEC25023, 국가용 보안요구사항을 준수해 받은 경우가 해당된다.

 

현재 GS인증 시험·인증기관인 한국정보통신기술협회(TTA)에서 ISO25023 국제표준규격과 국가보안요구사항을 추가한 GS인증을 준비하고 있다.

 

디도스(DDoS) 대응장비, 안티바이러스(백신), 소스코드 보안약점 분석 도구는 한국인터넷진흥원(KISA)이 시행하는 국가 보안요구사항을 준용한 성능평가만 거치면 CC인증 없이도 국가·공공기관 도입이 가능해졌다.

 

 

 

 

보안적합성 검증 생략·대체하는 ‘보안기능시험결과서’ 제도 ICT 전 제품으로 확대

 

그동안 국가·공공기관에 도입되는 정보보호 제품은 CC와 보안적합성 검증을 받아야 했다. 국내용 CC인증 제도가 생긴 뒤 이 인증을 받은 제품은 보안적합성 검증을 면제해주는 방식으로 절차가 간소화됐다.

 

지난해부터는 보안기능시험을 사전에 받아 결과서를 발급받은 네트워크 장비(L3 이상)와 소프트웨어정의네트워킹(SDN) 컨트롤러, CC인증을 받은 일부 정보보호 제품을 대상으로 보안기능시험결과서를 받으면 보안적합성 검증을 생략할 수 있는 제도가 시행됐다. <관련기사 – 네트워크·정보보호제품 ‘시험성적서’ 발급제도 시행…보안적합성 검증 대체>

네트워크·정보보호제품 ‘시험성적서’ 발급제도 시행…보안적합성 검증 대체 - Byline Network

 

이 제도 시행 전에는 국가용 보호프로파일(PP)를 준용하지 않고 국제CC인증을 받은 제품은 보안적합성 검증을 반드시 추가로 거쳐야 했지만, 보안기능시험결과서를 사전에 발급받은 제품을 국가기관이 도입하면 ‘도입확인서’만 국정원에 제출하면 된다.

 

해외에서 CC를 받은 외산 정보보호 제품도 보안기능시험결과서를 발급받아 보안적합성 검증을 추가로 거치지 않아도 된다는 얘기다.

 

15일 오후 열린 설명회에서 국정원 관계자는 “국가·공공기관에 제품을 납품하기 전에 보안기능시험결과서를 미리 발급받으면 도입기관이 별도의 보안적합성 검증을 신청해 받는 행정절차가 없어진다. 기관이 사용하는 보안기능을 사전에 검증할 수도 있다”고 보안기능시험결과서 제도의 의의를 설명하면서 “도입확인서는 공공기관이 제품을 도입할 때마다 제출하는 것이 아니라 반기 또는 분기별로 제출하도록 안내하고 있다”고 말했다.

 

<출처: 국가정보원(NIS) 홈페이지>

 

(https://byline.network/2018/03/1-1047/

정보보호제품 6종 GS인증·성능평가로 CC 대체 가능…보안기능시험결과서 대상도 전면 확대 - Bylin